5
Suche nach zentraler Proxylösung für mehrere unabhängige Standorte
Hallo zusammen,
ich suche für einen Kundenstandort eine neue Proxylösung die folgende Funktionen bieten soll:
- Jugendschutzfilter der möglichst häufig gepflegt wird
- SSL-Passtrough -> HTTPS soll einfach durchgeleitet werden, da SSL Interception meiner Auffassung nacht nicht funktionieren wird, da wir viele Standorte haben die keine Möglichkeit zur Verteilung eines Zertifikats bieten. Sollte jemand eine Idee haben wie man dies trotzem umsetzen kann ohne alle Standorte abzuklappern dann nur heraus damit.
- Web-Benutzeroberfläche
- Die Clients sollen sich am Proxy authentifizieren bevor sie ins Internet dürfen, ob dafür eine Webanmeldung oder eine Browserintegrierte Anmeldung genutzt wird ist egal
=> Das wichtigste wäre die Authentifizierung und der Jugenschutzfilter. Ob es sich dabei um eine Hardware-Lösung oder eine Software handelt ist für meinen Anwendungsfall unerheblich.
Für ein Paar vorschläge von euch wäre ich sehr dankbar.
ich suche für einen Kundenstandort eine neue Proxylösung die folgende Funktionen bieten soll:
- Jugendschutzfilter der möglichst häufig gepflegt wird
- SSL-Passtrough -> HTTPS soll einfach durchgeleitet werden, da SSL Interception meiner Auffassung nacht nicht funktionieren wird, da wir viele Standorte haben die keine Möglichkeit zur Verteilung eines Zertifikats bieten. Sollte jemand eine Idee haben wie man dies trotzem umsetzen kann ohne alle Standorte abzuklappern dann nur heraus damit.
- Web-Benutzeroberfläche
- Die Clients sollen sich am Proxy authentifizieren bevor sie ins Internet dürfen, ob dafür eine Webanmeldung oder eine Browserintegrierte Anmeldung genutzt wird ist egal
=> Das wichtigste wäre die Authentifizierung und der Jugenschutzfilter. Ob es sich dabei um eine Hardware-Lösung oder eine Software handelt ist für meinen Anwendungsfall unerheblich.
Für ein Paar vorschläge von euch wäre ich sehr dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 380751
Url: https://administrator.de/contentid/380751
Printed on: April 26, 2024 at 11:04 o'clock
5 Comments
Latest comment
Hallo,
sollen die Standorte auch noch vernetzt werden ?
Was für ein Budget gibt es ?
Unsere Sophos UTM oder die XG können sowas. Aber das ist vielleicht zu viel des gucken.
Gruss
sollen die Standorte auch noch vernetzt werden ?
Was für ein Budget gibt es ?
Unsere Sophos UTM oder die XG können sowas. Aber das ist vielleicht zu viel des gucken.
Gruss
Moin,
@itisnapanto schon genannt hat, lässt sich das recht einfach und flexibel per Sophos UTM umsetzen. Einfach mal beraten lassen.
Gruß, V
@itisnapanto schon genannt hat, lässt sich das recht einfach und flexibel per Sophos UTM umsetzen. Einfach mal beraten lassen.
Gruß, V
Moin,
wie itisnapanto schon anfragte:
Soll es eine Standortvernetzung geben bzw. ist bereits eine vorhanden?
Wenn ja, welche Komponenten kommen zum Einsatz?
Des Weiteren:
Habt ihr ein AD oder nicht?
Wenn ja, würde ich hier mit SSO arbeiten und den Proxy (welcher auch immer es werden soll) ans AD hängen.
Zum Proxy selbst:
Wenn ihr noch keine gescheite Hardware für die STandortvernetzung habt: Sophos UTM. Kostet zwar etwas, aber die rennen einfach. Am Hauptstandort dann eine SG 230, 330, ... (je nach erwartetem Traffic) und an den Nebenstandorten dann ggf. eine RED (etwas nach unten scrollen).
Wenn bereits eine Firewall vorhanden ist (und ich meine keine FritzBox), wie z.B. eine pfSense oder so, kann hier ein SQUID o.Ä. nachgezogen werden:https://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tuto ...
Falls es eine andere Firewall / Central Gateway-Lösungen sind (z.B. LANCOM), dann einfach einen Standalone-Squid einbinden. AN den außenstandorten dann durch Regeln (ggf. Policybased) den gesamten WWW Traffic der Ports 80 / 443 entsprechend über den SQUID routen.
Gruß
em-pie
wie itisnapanto schon anfragte:
Soll es eine Standortvernetzung geben bzw. ist bereits eine vorhanden?
Wenn ja, welche Komponenten kommen zum Einsatz?
Des Weiteren:
Habt ihr ein AD oder nicht?
Wenn ja, würde ich hier mit SSO arbeiten und den Proxy (welcher auch immer es werden soll) ans AD hängen.
Zum Proxy selbst:
Wenn ihr noch keine gescheite Hardware für die STandortvernetzung habt: Sophos UTM. Kostet zwar etwas, aber die rennen einfach. Am Hauptstandort dann eine SG 230, 330, ... (je nach erwartetem Traffic) und an den Nebenstandorten dann ggf. eine RED (etwas nach unten scrollen).
Wenn bereits eine Firewall vorhanden ist (und ich meine keine FritzBox), wie z.B. eine pfSense oder so, kann hier ein SQUID o.Ä. nachgezogen werden:https://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tuto ...
Falls es eine andere Firewall / Central Gateway-Lösungen sind (z.B. LANCOM), dann einfach einen Standalone-Squid einbinden. AN den außenstandorten dann durch Regeln (ggf. Policybased) den gesamten WWW Traffic der Ports 80 / 443 entsprechend über den SQUID routen.
Gruß
em-pie
Wer setzt denn heute noch einen separaten Proxy ein?
Bei solchen Konstrukten bekomme ich, entschuldigt die Aussage, leichten Aufstoß.
Sowas löst man über eine UTM welche den kompletten traffic scannen und filtern kann.
Ich ziehe hier eine watchguard einer Sophos UTM vor!
Die Standortvernetzung lässt sich dann ebenfalls leicht über die Boxen abfackeln.
Bei solchen Konstrukten bekomme ich, entschuldigt die Aussage, leichten Aufstoß.
Sowas löst man über eine UTM welche den kompletten traffic scannen und filtern kann.
Ich ziehe hier eine watchguard einer Sophos UTM vor!
Die Standortvernetzung lässt sich dann ebenfalls leicht über die Boxen abfackeln.
Hi,
danke für die ausführliche Antwort, ich ergänze noch ein bisschen was.
Ein Teil unserer Standorte ist über Standleitungen von der Telekom angebunden, der Rest ist teilweise per VPN über Lancom-Router oder gar nicht angebunden.
Die per Standleitung oder VPN angebundenen nutzen die interne IP des Proxys, der Rest wird von Extern über eine Portfreigabe angebunden.
Eine Anbindung an das AD ist nicht möglich da wir nach Kundenwunsch keine Vertrauensstellungen zwischen den Domänen haben, und alle Nutzer aus allen Außenstellen (über 1000) doppelt bei uns anzulegen kommt so leider nicht in Frage.
Wir haben hier ein altes Bestandsnetz was sich (auch aus finanziellen Gründen) nicht mal eben umbauen lässt, deswegen bräuchten wir halt irgendwie eine Lösung die sich unabhängig einfügen lässt ohne das wir alles andere angleichen müssen. Was aber wie gesagt besonders wichtig ist ist der Jugenschutzfilter und die Möglichkeit nach Benutzernamen zu authentifizieren mit einem integrierten Benutzermanagement, da AD wie gesagt keine Option ist.
danke für die ausführliche Antwort, ich ergänze noch ein bisschen was.
Ein Teil unserer Standorte ist über Standleitungen von der Telekom angebunden, der Rest ist teilweise per VPN über Lancom-Router oder gar nicht angebunden.
Die per Standleitung oder VPN angebundenen nutzen die interne IP des Proxys, der Rest wird von Extern über eine Portfreigabe angebunden.
Eine Anbindung an das AD ist nicht möglich da wir nach Kundenwunsch keine Vertrauensstellungen zwischen den Domänen haben, und alle Nutzer aus allen Außenstellen (über 1000) doppelt bei uns anzulegen kommt so leider nicht in Frage.
Wir haben hier ein altes Bestandsnetz was sich (auch aus finanziellen Gründen) nicht mal eben umbauen lässt, deswegen bräuchten wir halt irgendwie eine Lösung die sich unabhängig einfügen lässt ohne das wir alles andere angleichen müssen. Was aber wie gesagt besonders wichtig ist ist der Jugenschutzfilter und die Möglichkeit nach Benutzernamen zu authentifizieren mit einem integrierten Benutzermanagement, da AD wie gesagt keine Option ist.